As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para PCI DSS 3.2.1
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operacionais ou de otimização de custos usando controles gerenciados ou personalizadosAWS Configregras eAWS Configações de remediação. Os pacotes de conformidade, como modelos de exemplo, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.
O seguinte fornece um exemplo de mapeamento entre o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 3.2.1 eAWSregras de configuração gerenciadas. CadaAWS Configregra se aplica a um específicoAWSrecurso e está relacionado a um ou mais controles PCI DSS. Um controle PCI DSS pode estar relacionado a várias regras de configuração. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.
| ID de controle | Descrição do controle | AWSRegra de configuração | Orientação |
|---|---|---|---|
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização HTTP, certifique-se de que o modo de mitigação de dessincronização HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para eliminar cabeçalhos http. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | UmAWSO grupo de regras do Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras vazio sem estado, quando presente em uma política de firewall, não processa o tráfego. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakernotebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 1.2.1 | Restrinja o tráfego de entrada e saída ao necessário para o ambiente de dados do titular do cartão e negue especificamente todos os outros tráfegos. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização HTTP, certifique-se de que o modo de mitigação de dessincronização HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para eliminar cabeçalhos http. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | UmAWSO grupo de regras do Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras vazio sem estado, quando presente em uma política de firewall, não processa o tráfego. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakernotebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 1.3 | Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização HTTP, certifique-se de que o modo de mitigação de dessincronização HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para eliminar cabeçalhos http. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | UmAWSO grupo de regras do Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras vazio sem estado, quando presente em uma política de firewall, não processa o tráfego. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakernotebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 1.3.1 | Implemente uma DMZ para limitar o tráfego de entrada somente aos componentes do sistema que fornecem serviços, protocolos e portas autorizados acessíveis ao público. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização HTTP, certifique-se de que o modo de mitigação de dessincronização HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para eliminar cabeçalhos http. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | UmAWSO grupo de regras do Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras vazio sem estado, quando presente em uma política de firewall, não processa o tráfego. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakernotebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 1.3.2 | Limite o tráfego de entrada da Internet para endereços IP dentro da DMZ. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização HTTP, certifique-se de que o modo de mitigação de dessincronização HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para eliminar cabeçalhos http. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | UmAWSO grupo de regras do Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras vazio sem estado, quando presente em uma política de firewall, não processa o tráfego. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakernotebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 1.3.4 | Não permita tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | UmAWSA política de firewall de rede define como seu firewall monitora e gerencia o tráfego em um Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego e define o tratamento de tráfego padrão. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | UmAWSO grupo de regras do Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras vazio sem estado, quando presente em uma política de firewall, não processa o tráfego. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakernotebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 1.3.6 | Coloque os componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, separada da DMZ e de outras redes não confiáveis. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| 2.1 | Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas,point-of-saleterminais (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP), etc.). | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque dos seus clusters de banco de dados do Amazon Relational Database Service (Amazon RDS). | |
| 2.1 | Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas,point-of-saleterminais (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP), etc.). | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de suas instâncias de banco de dados do Amazon Relational Database Service (Amazon RDS). | |
| 2.1 | Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas,point-of-saleterminais (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP), etc.). | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque dos seus clusters do Amazon Redshift. | |
| 2.1 | Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas,point-of-saleterminais (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP), etc.). | Os nomes padrão são de conhecimento público e devem ser alterados na configuração. Alterar o nome padrão do banco de dados do seu cluster do Amazon Redshift pode ajudar a reduzir a superfície de ataque do seu cluster do Redshift. | |
| 2.1 | Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas,point-of-saleterminais (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP), etc.). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 2.1 | Sempre altere os padrões fornecidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, mas não se limitando às usadas por sistemas operacionais, software que fornece serviços de segurança, contas de aplicativos e sistemas,point-of-saleterminais (POS), aplicativos de pagamento, cadeias de caracteres comunitárias do Simple Network Management Protocol (SNMP), etc.). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Gerenciamento centralizado deAWScontas dentroAWSAs organizações ajudam a garantir a conformidade das contas. A falta de governança centralizada da conta pode levar a configurações de conta inconsistentes, o que pode expor recursos e dados confidenciais. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Ative a rotação de chaves para garantir que as chaves sejam giradas quando chegarem ao final do período criptográfico. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Essa regra verifica se suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) têm vários ENIs. Ter vários ENIs pode causar instâncias com hospedagem dupla, ou seja, instâncias com várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: ¢ Center for Internet Security (CIS) ̈Ä¢ International Organization for Standardization (ISO) ̈Ä¢SysAdminInstituto de Segurança de Rede de Auditoria (SANS) do Instituto Nacional de Tecnologia de Padrões (NIST). | UsarAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Essa regra garante que os grupos de segurança estejam conectados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma ENI. Essa regra ajuda a monitorar grupos de segurança não utilizados no inventário e no gerenciamento do seu ambiente. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões e a reversão, além da delegação do gerenciamento de permissões. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: ¢ Center for Internet Security (CIS) ̈Ä¢ International Organization for Standardization (ISO) ̈Ä¢SysAdminInstituto de Segurança de Rede de Auditoria (SANS) do Instituto Nacional de Tecnologia de Padrões (NIST). | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. As fontes de padrões de fortalecimento do sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Centro de Segurança da Internet (CIS) • Organização Internacional de Padronização (ISO) •SysAdminInstituto de Segurança de Rede de Auditoria (SANS) • Instituto Nacional de Tecnologia de Padrões (NIST). | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakernotebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos. | |
| 2.2.2 | Ative somente os serviços, protocolos, daemons etc. necessários, conforme necessário para o funcionamento do sistema. | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos. | |
| 2.2.3 | Implemente recursos de segurança adicionais para quaisquer serviços, protocolos ou daemons necessários que sejam considerados inseguros. | Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização HTTP, certifique-se de que o modo de mitigação de dessincronização HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, certifique-se de que o HTTPS esteja habilitado para conexões com sua AmazonOpenSearchDomínios de serviço. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 2.4 | Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS. | Essa regra garante que os grupos de segurança estejam conectados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma ENI. Essa regra ajuda a monitorar grupos de segurança não utilizados no inventário e no gerenciamento do seu ambiente. | |
| 2.4 | Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS. | Essa regra garante que os IPs elásticos alocados para uma Amazon Virtual Private Cloud (Amazon VPC) sejam conectados a instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou interfaces de rede elásticas em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente. | |
| 2.4 | Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS. | É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UsarAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente. | |
| 2.4 | Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS. | Essa regra garante que as listas de controle de acesso à rede Amazon Virtual Private Cloud (VPC) estejam em uso. O monitoramento de listas de controle de acesso à rede não utilizadas pode ajudar no inventário e no gerenciamento precisos do seu ambiente. | |
| 3.1 | Reduza ao mínimo o armazenamento de dados do titular do cartão implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (CHD): • Limitar a quantidade e o tempo de retenção de dados aos requisitos legais, regulamentares e/ou comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não forem mais necessários • Um processo trimestral para identificar e excluir com segurança os dados armazenados do titular do cartão que excede a retenção definida. | Certifique-se de que as políticas de ciclo de vida do Amazon S3 estejam configuradas para ajudar a definir as ações que você deseja que o Amazon S3 realize durante a vida útil de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período de tempo especificado). | |
| 3.1 | Reduza ao mínimo o armazenamento de dados do titular do cartão implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (CHD): • Limitar a quantidade e o tempo de retenção de dados aos requisitos legais, regulamentares e/ou comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não forem mais necessários • Um processo trimestral para identificar e excluir com segurança os dados armazenados do titular do cartão que excede a retenção definida. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| 3.1 | Reduza ao mínimo o armazenamento de dados do titular do cartão implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (CHD): • Limitar a quantidade e o tempo de retenção de dados aos requisitos legais, regulamentares e/ou comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não forem mais necessários • Um processo trimestral para identificar e excluir com segurança os dados armazenados do titular do cartão que excede a retenção definida. | Para ajudar nos processos de backup de dados, garanta queAWSOs pontos de recuperação de backup têm um período mínimo de retenção definido.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredRetentionDays(padrão de configuração: 35) parâmetro. O valor real deve refletir os requisitos de sua organização. | |
| 3.1 | Reduza ao mínimo o armazenamento de dados do titular do cartão implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (CHD): • Limitar a quantidade e o tempo de retenção de dados aos requisitos legais, regulamentares e/ou comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não forem mais necessários • Um processo trimestral para identificar e excluir com segurança os dados armazenados do titular do cartão que excede a retenção definida. | Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Certifique-se de que a criptografia esteja habilitada para seuAWSPontos de recuperação de backup. Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para sua AmazonCloudWatchGrupos de registro. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar em que esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens e blocos de índice (os blocos devem ser armazenados com segurança •) Criptografia forte com chaves associadas processos e procedimentos de gestão digital. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados originais do PAN se tiver acesso à versão truncada e à versão com hash de um PAN. Onde versões com hash e truncadas do mesmo PAN estão presentes no ambiente de uma entidade, controles adicionais devem estar em vigor para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia usandoAWSServiço de gerenciamento de chaves (AWSKMS). Como dados confidenciais podem existir em repouso nas mensagens publicadas, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.5.2 | Restrinja o acesso às chaves criptográficas ao menor número de custodiantes necessário. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| 3.5.2 | Restrinja o acesso às chaves criptográficas ao menor número de custodiantes necessário. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| 3.5.3 | Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar os dados do titular do cartão em um (ou mais) dos seguintes formulários: • Criptografado com uma chave de criptografia de chave que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Em um dispositivo criptográfico seguro (como um módulo de segurança de hardware (host) (HSM) ou aprovado pelo PTSpoint-of-interactiondispositivo) • Como pelo menos dois componentes de chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Nota: Não é necessário que as chaves públicas sejam armazenadas em um desses formulários. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.5.3 | Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar os dados do titular do cartão em um (ou mais) dos seguintes formulários: • Criptografado com uma chave de criptografia de chave que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Em um dispositivo criptográfico seguro (como um módulo de segurança de hardware (host) (HSM) ou aprovado pelo PTSpoint-of-interactiondispositivo) • Como pelo menos dois componentes de chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Nota: Não é necessário que as chaves públicas sejam armazenadas em um desses formulários. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.5.3 | Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar os dados do titular do cartão em um (ou mais) dos seguintes formulários: • Criptografado com uma chave de criptografia de chave que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Em um dispositivo criptográfico seguro (como um módulo de segurança de hardware (host) (HSM) ou aprovado pelo PTSpoint-of-interactiondispositivo) • Como pelo menos dois componentes de chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Nota: Não é necessário que as chaves públicas sejam armazenadas em um desses formulários. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.6.4 | Alterações na chave criptográfica para chaves que chegaram ao final do período criptográfico (por exemplo, após um período de tempo definido e/ou após uma certa quantidade de texto cifrado ter sido produzida por uma determinada chave), conforme definido pelo fornecedor do aplicativo associado ou pelo proprietário da chave e com base nas melhores práticas e diretrizes do setor (por exemplo, a Publicação Especial 800-57 do NIST). | Ative a rotação de chaves para garantir que as chaves sejam giradas quando chegarem ao final do período criptográfico. | |
| 3.6.5 | Aposentadoria ou substituição (por exemplo, arquivamento, destruição e/ou revogação) de chaves conforme considerado necessário quando a integridade da chave estiver enfraquecida (por exemplo, saída de um funcionário com conhecimento de um componente chave em texto não criptografado) ou quando houver suspeita de que as chaves estejam comprometidas. Nota: Se chaves criptográficas retiradas ou substituídas precisarem ser mantidas, essas chaves deverão ser arquivadas com segurança (por exemplo, usando uma chave de criptografia de chave). As chaves criptográficas arquivadas só devem ser usadas para fins de decodificação/verificação. | Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão noAWSServiço de gerenciamento de chaves (AWSKMS). Como a exclusão da chave às vezes é necessária, essa regra pode ajudar a verificar todas as chaves programadas para exclusão, caso uma chave tenha sido agendada sem querer. | |
| 3.6.7 | Prevenção da substituição não autorizada de chaves criptográficas. | Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão noAWSServiço de gerenciamento de chaves (AWSKMS). Como a exclusão da chave às vezes é necessária, essa regra pode ajudar a verificar todas as chaves programadas para exclusão, caso uma chave tenha sido agendada sem querer. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Garanta que a integridade da rede esteja protegida, garantindo que os certificados X509 sejam emitidos porAWSACM. Esses certificados devem ser válidos e não expirados. Essa regra exige um valor paradaysToExpiration(AWSValor das melhores práticas básicas de segurança: 90). O valor real deve refletir as políticas da sua organização. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações na Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UsarAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, certifique-se de que o HTTPS esteja habilitado para conexões com sua AmazonOpenSearchDomínios de serviço. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações na Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 4.1 | Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso só oferece suporte a versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, por exemplo, Sistema Global de Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Rádio por Pacote (GPRS) • Comunicações via satélite | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 6.2 | Garanta que todos os componentes e software do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | A ativação de atualizações gerenciadas de plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação de patches é a melhor prática para proteger sistemas. | |
| 6.2 | Garanta que todos os componentes e software do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | UsarAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente. | |
| 6.2 | Garanta que todos os componentes e software do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização. | |
| 6.2 | Garanta que todos os componentes e software do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Atualizações e patches de segurança são implantados automaticamente para seuAWSTarefas do Fargate. Se for encontrado um problema de segurança que afete umAWSVersão da plataforma Fargate,AWScorrige a versão da plataforma. Para auxiliar no gerenciamento de patches de suas tarefas do Amazon Elastic Container Service (ECS) em execuçãoAWSFargate, atualize suas tarefas autônomas de serviços para usar a versão mais recente da plataforma. | |
| 6.2 | Garanta que todos os componentes e software do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as atualizações secundárias mais recentes do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) sejam instaladas, o que pode incluir patches de segurança e correções de erros. | |
| 6.2 | Garanta que todos os componentes e software do sistema estejam protegidos contra vulnerabilidades conhecidas instalando os patches de segurança aplicáveis fornecidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Nota: Os patches de segurança críticos devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30) e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização. | |
| 6.3.2 | Analise o código personalizado antes do lançamento para a produção ou para os clientes para identificar qualquer possível vulnerabilidade de codificação (usando processos manuais ou automatizados) para incluir pelo menos o seguinte: • As alterações no código são analisadas por pessoas que não sejam o autor do código original e por pessoas com conhecimento sobre técnicas de revisão de código e práticas seguras de codificação. • As revisões de código garantem que o código seja desenvolvido de acordo com as diretrizes de codificação segura • As correções apropriadas são implementadas antes do lançamento. • Os resultados da revisão do código são revisados e aprovados pela gerência antes do lançamento. (Continua na próxima página) | A digitalização de imagens do Amazon Elastic Container Repository (ECR) auxilia na identificação de vulnerabilidades de software em suas imagens de contêiner. Ativar a digitalização de imagens em repositórios de ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas. | |
| 6.6 | Para aplicativos da Web voltados para o público, aborde novas ameaças e vulnerabilidades de forma contínua e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da Web voltados para o público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicativos, pelo menos anualmente e após qualquer alteração. Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e previne ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da Web voltados para o público, para verificar continuamente todo o tráfego. | Para ajudar na proteção de aplicativos contra vulnerabilidades de dessincronização HTTP, certifique-se de que o modo de mitigação de dessincronização HTTP esteja ativado em seus balanceadores de carga de aplicativos. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar seus aplicativos vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são monitorados, defensivos e mais rigorosos. Defensivo é o modo padrão. | |
| 6.6 | Para aplicativos da Web voltados para o público, aborde novas ameaças e vulnerabilidades de forma contínua e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da Web voltados para o público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicativos, pelo menos anualmente e após qualquer alteração. Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e previne ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da Web voltados para o público, para verificar continuamente todo o tráfego. | GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| 6.6 | Para aplicativos da Web voltados para o público, aborde novas ameaças e vulnerabilidades de forma contínua e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da Web voltados para o público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicativos, pelo menos anualmente e após qualquer alteração. Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e previne ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da Web voltados para o público, para verificar continuamente todo o tráfego. | AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos | |
| 6.6 | Para aplicativos da Web voltados para o público, aborde novas ameaças e vulnerabilidades de forma contínua e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da Web voltados para o público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicativos, pelo menos anualmente e após qualquer alteração. Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e previne ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da Web voltados para o público, para verificar continuamente todo o tráfego. | Garanta suaAWSO WAF tem uma regra que não está vazia. Uma regra sem condições pode resultar em comportamento não intencional. | |
| 6.6 | Para aplicativos da Web voltados para o público, aborde novas ameaças e vulnerabilidades de forma contínua e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da Web voltados para o público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicativos, pelo menos anualmente e após qualquer alteração. Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e previne ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da Web voltados para o público, para verificar continuamente todo o tráfego. | Garanta suaAWSO WAF tem um grupo de regras que não está vazio. Um grupo de regras vazio pode resultar em comportamento não intencional. | |
| 6.6 | Para aplicativos da Web voltados para o público, aborde novas ameaças e vulnerabilidades de forma contínua e garanta que esses aplicativos estejam protegidos contra ataques conhecidos por um dos seguintes métodos: • Analisar aplicativos da Web voltados para o público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicativos, pelo menos anualmente e após qualquer alteração. Nota: Essa avaliação não é a mesma que as verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecta e previne ataques baseados na web (por exemplo, um firewall de aplicativos da web) na frente de aplicativos da Web voltados para o público, para verificar continuamente todo o tráfego. | Uma ACL da Web anexada a umAWSO WAF pode conter uma coleção de regras e grupos de regras para inspecionar e controlar solicitações da Web. Se uma ACL da Web estiver vazia, o tráfego da web passará sem ser detectado ou acionado pelo WAF. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Para ajudar na implementação do princípio do menor privilégio, garanta que um usuário não root seja designado para acessar suas definições de tarefas do Amazon Elastic Container Service (Amazon ECS). | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Essa regra verifica se as listas de controle de acesso (ACLs) são usadas para controlar o acesso nos buckets do Amazon S3. As ACLs são mecanismos legados de controle de acesso para buckets do Amazon S3 anterioresAWSGerenciamento de identidade e acesso (IAM). Em vez de ACLs, é uma prática recomendada usar políticas do IAM ou políticas de bucket do S3 para gerenciar com mais facilidade o acesso aos seus buckets do S3. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Para ajudar na implementação do princípio do menor privilégio, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter o privilégio elevado ativado. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz). | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Habilitar o acesso somente para leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a cumprir o princípio do menor privilégio. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado a menos que tenha permissões explícitas de leitura e gravação. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso possam acessar somente os arquivos do subdiretório especificado. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Para ajudar na implementação do princípio do menor privilégio, garanta que a imposição do usuário esteja habilitada para seu Amazon Elastic File System (Amazon EFS). Quando ativado, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e só concede acesso a essa identidade de usuário imposta. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões e a reversão, além da delegação do gerenciamento de permissões. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Garanta que o controle de acesso refinado esteja ativado em sua AmazonOpenSearchDomínios de serviço. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado à AmazonOpenSearchDomínios de serviço. Ele permite o controle de acesso baseado em funções ao domínio, bem como a segurança em nível de índice, documento e campo, além de suporte paraOpenSearchPainéis de serviço, multilocação e autenticação básica HTTP paraOpenSearchService e Kibana. | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões e a reversão, além da delegação do gerenciamento de permissões. | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.1.2 | Restrinja o acesso a IDs de usuário privilegiados aos privilégios mínimos necessários para desempenhar as responsabilidades do trabalho. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | Para ajudar na implementação do princípio do menor privilégio, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter o privilégio elevado ativado. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz). | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | Habilitar o acesso somente para leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a cumprir o princípio do menor privilégio. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado a menos que tenha permissões explícitas de leitura e gravação. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso possam acessar somente os arquivos do subdiretório especificado. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | Para ajudar na implementação do princípio do menor privilégio, garanta que a imposição do usuário esteja habilitada para seu Amazon Elastic File System (Amazon EFS). Quando ativado, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e só concede acesso a essa identidade de usuário imposta. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões e a reversão, além da delegação do gerenciamento de permissões. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 7.2.1 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Cobertura de todos os componentes do sistema | Garanta que o controle de acesso refinado esteja ativado em sua AmazonOpenSearchDomínios de serviço. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado à AmazonOpenSearchDomínios de serviço. Ele permite o controle de acesso baseado em funções ao domínio, bem como a segurança em nível de índice, documento e campo, além de suporte paraOpenSearchPainéis de serviço, multilocação e autenticação básica HTTP paraOpenSearchService e Kibana. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Para ajudar na implementação do princípio do menor privilégio, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter o privilégio elevado ativado. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz). | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Habilitar o acesso somente para leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a cumprir o princípio do menor privilégio. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado a menos que tenha permissões explícitas de leitura e gravação. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso possam acessar somente os arquivos do subdiretório especificado. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Para ajudar na implementação do princípio do menor privilégio, garanta que a imposição do usuário esteja habilitada para seu Amazon Elastic File System (Amazon EFS). Quando ativado, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e só concede acesso a essa identidade de usuário imposta. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões e a reversão, além da delegação do gerenciamento de permissões. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 7.2.2 | Estabeleça um (s) sistema (s) de controle de acesso para os componentes do sistema que restrinja o acesso com base na necessidade de conhecimento do usuário e esteja configurado para “negar tudo”, a menos que seja especificamente permitido. Esses sistemas de controle de acesso devem incluir o seguinte: Atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Garanta que o controle de acesso refinado esteja ativado em sua AmazonOpenSearchDomínios de serviço. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado à AmazonOpenSearchDomínios de serviço. Ele permite o controle de acesso baseado em funções ao domínio, bem como a segurança em nível de índice, documento e campo, além de suporte paraOpenSearchPainéis de serviço, multilocação e autenticação básica HTTP paraOpenSearchService e Kibana. | |
| 7.2.3 | Configuração padrão de “negar tudo”. | Essa regra verifica se as listas de controle de acesso (ACLs) são usadas para controlar o acesso nos buckets do Amazon S3. As ACLs são mecanismos legados de controle de acesso para buckets do Amazon S3 anterioresAWSGerenciamento de identidade e acesso (IAM). Em vez de ACLs, é uma prática recomendada usar políticas do IAM ou políticas de bucket do S3 para gerenciar com mais facilidade o acesso aos seus buckets do S3. | |
| 8.1.1 | Atribua a todos os usuários uma ID exclusiva antes de permitir que eles acessem os componentes do sistema ou os dados do titular do cartão. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| 8.1.4 | Remova/desative contas de usuário inativas em 90 dias. | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar na implementação do princípio do menor privilégio, garanta sua AmazonCodeBuildo ambiente do projeto não tem o modo privilegiado ativado. Essa configuração deve ser desativada para evitar o acesso não intencional às APIs do Docker, bem como ao hardware subjacente do contêiner. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Como melhor prática de segurança, passe informações confidenciais para contêineres como variáveis de ambiente. Você pode injetar dados com segurança em seus contêineres do Amazon Elastic Container Service (ECS) referenciando valores armazenados emAWSArmazenamento de parâmetros do Systems Manager ouAWSSecrets Manager na definição de contêiner de uma definição de tarefa do Amazon ECS. Em seguida, você pode expor suas informações confidenciais como variáveis de ambiente ou na configuração de log de um contêiner. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS). | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchServiço (OpenSearchDomínios de serviço (). | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchDomínios de serviço. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado paraAWSSegredos do Secrets Manager. Como dados confidenciais podem existir em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 8.2.1 | Usando criptografia forte, torne todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia usandoAWSServiço de gerenciamento de chaves (AWSKMS). Como dados confidenciais podem existir em repouso nas mensagens publicadas, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 8.2.3 | As senhas/frases secretas devem atender ao seguinte: • Exigir um tamanho mínimo de pelo menos sete caracteres. • Contém caracteres numéricos e alfabéticos. Como alternativa, as senhas/frases secretas devem ter complexidade e força pelo menos equivalentes aos parâmetros especificados acima. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(Padrão do PCI DSS: falso),RequireLowercaseCharacters(Padrão PCI DSS: verdadeiro),RequireSymbols(Padrão do PCI DSS: falso),RequireNumbers(Padrão PCI DSS: verdadeiro),MinimumPasswordLength(padrão PCI DSS: 7),PasswordReusePrevention(padrão PCI DSS: 4) eMaxPasswordAge(padrão PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| 8.2.4 | Altere as senhas/frases secretas do usuário pelo menos uma vez a cada 90 dias. | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| 8.2.4 | Altere as senhas/frases secretas do usuário pelo menos uma vez a cada 90 dias. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(Padrão do PCI DSS: falso),RequireLowercaseCharacters(Padrão PCI DSS: verdadeiro),RequireSymbols(Padrão do PCI DSS: falso),RequireNumbers(Padrão PCI DSS: verdadeiro),MinimumPasswordLength(padrão PCI DSS: 7),PasswordReusePrevention(padrão PCI DSS: 4) eMaxPasswordAge(padrão PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| 8.2.4 | Altere as senhas/frases secretas do usuário pelo menos uma vez a cada 90 dias. | Esta regra garanteAWSOs segredos do Secrets Manager têm a rotação ativada. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se o segredo for comprometido. | |
| 8.2.5 | Não permita que um indivíduo envie uma nova senha/frase secreta que seja igual a qualquer uma das últimas quatro senha/frases secretas que ele ou ela tenha usado. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para segurança de senhas. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(Padrão do PCI DSS: falso),RequireLowercaseCharacters(Padrão PCI DSS: verdadeiro),RequireSymbols(Padrão do PCI DSS: falso),RequireNumbers(Padrão PCI DSS: verdadeiro),MinimumPasswordLength(padrão PCI DSS: 7),PasswordReusePrevention(padrão PCI DSS: 4) eMaxPasswordAge(padrão PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| 8.3.1 | Incorpore a autenticação multifatorial para todo o acesso que não seja do console ao CDE para funcionários com acesso administrativo. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| 8.3.1 | Incorpore a autenticação multifatorial para todo o acesso que não seja do console ao CDE para funcionários com acesso administrativo. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 8.3.1 | Incorpore a autenticação multifatorial para todo o acesso que não seja do console ao CDE para funcionários com acesso administrativo. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 8.3.1 | Incorpore a autenticação multifatorial para todo o acesso que não seja do console ao CDE para funcionários com acesso administrativo. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 8.3.2 | Incorpore a autenticação multifatorial para todo o acesso remoto à rede (tanto do usuário quanto do administrador, incluindo acesso de terceiros para suporte ou manutenção) originado de fora da rede da entidade. | Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários. | |
| 8.3.2 | Incorpore a autenticação multifatorial para todo o acesso remoto à rede (tanto do usuário quanto do administrador, incluindo acesso de terceiros para suporte ou manutenção) originado de fora da rede da entidade. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção sobre um nome de usuário e senha. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 8.3.2 | Incorpore a autenticação multifatorial para todo o acesso remoto à rede (tanto do usuário quanto do administrador, incluindo acesso de terceiros para suporte ou manutenção) originado de fora da rede da entidade. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 8.3.2 | Incorpore a autenticação multifatorial para todo o acesso remoto à rede (tanto do usuário quanto do administrador, incluindo acesso de terceiros para suporte ou manutenção) originado de fora da rede da entidade. | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | GarantaAWS CodeBuildo registro de projetos está habilitado para que seus registros de saída de compilação sejam enviados para qualquer uma das AmazonCloudWatchou Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de construção. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | GarantaAWS CodeBuildo registro de projetos está habilitado para que seus registros de saída de compilação sejam enviados para qualquer uma das AmazonCloudWatchou Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de construção. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todos os acessos individuais de usuários aos dados do titular do cartão | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer indivíduo com privilégios administrativos ou de raiz | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer indivíduo com privilégios administrativos ou de raiz | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer indivíduo com privilégios administrativos ou de raiz | GarantaAWS CodeBuildo registro de projetos está habilitado para que seus registros de saída de compilação sejam enviados para qualquer uma das AmazonCloudWatchou Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de construção. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer indivíduo com privilégios administrativos ou de raiz | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer indivíduo com privilégios administrativos ou de raiz | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer indivíduo com privilégios administrativos ou de raiz | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer indivíduo com privilégios administrativos ou de raiz | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Todas as ações tomadas por qualquer indivíduo com privilégios administrativos ou de raiz | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | GarantaAWS CodeBuildo registro de projetos está habilitado para que seus registros de saída de compilação sejam enviados para qualquer uma das AmazonCloudWatchou Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de construção. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Acesso a todas as trilhas de auditoria | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | GarantaAWS CodeBuildo registro de projetos está habilitado para que seus registros de saída de compilação sejam enviados para qualquer uma das AmazonCloudWatchou Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de construção. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Tentativas de acesso lógico inválidas | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: uso e alterações nos mecanismos de identificação e autenticação — incluindo, mas não se limitando à criação de novas contas e elevação de privilégios — e todas as alterações, acréscimos ou exclusões de contas com privilégios administrativos ou de raiz | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: uso e alterações nos mecanismos de identificação e autenticação — incluindo, mas não se limitando à criação de novas contas e elevação de privilégios — e todas as alterações, acréscimos ou exclusões de contas com privilégios administrativos ou de raiz | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: uso e alterações nos mecanismos de identificação e autenticação — incluindo, mas não se limitando à criação de novas contas e elevação de privilégios — e todas as alterações, acréscimos ou exclusões de contas com privilégios administrativos ou de raiz | GarantaAWS CodeBuildo registro de projetos está habilitado para que seus registros de saída de compilação sejam enviados para qualquer uma das AmazonCloudWatchou Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de construção. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: uso e alterações nos mecanismos de identificação e autenticação — incluindo, mas não se limitando à criação de novas contas e elevação de privilégios — e todas as alterações, acréscimos ou exclusões de contas com privilégios administrativos ou de raiz | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: uso e alterações nos mecanismos de identificação e autenticação — incluindo, mas não se limitando à criação de novas contas e elevação de privilégios — e todas as alterações, acréscimos ou exclusões de contas com privilégios administrativos ou de raiz | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: uso e alterações nos mecanismos de identificação e autenticação — incluindo, mas não se limitando à criação de novas contas e elevação de privilégios — e todas as alterações, acréscimos ou exclusões de contas com privilégios administrativos ou de raiz | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: uso e alterações nos mecanismos de identificação e autenticação — incluindo, mas não se limitando à criação de novas contas e elevação de privilégios — e todas as alterações, acréscimos ou exclusões de contas com privilégios administrativos ou de raiz | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: uso e alterações nos mecanismos de identificação e autenticação — incluindo, mas não se limitando à criação de novas contas e elevação de privilégios — e todas as alterações, acréscimos ou exclusões de contas com privilégios administrativos ou de raiz | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 10.2.6 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos registros de auditoria | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.6 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos registros de auditoria | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.2.6 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos registros de auditoria | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: Criação e exclusão de objetos no nível do sistema | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | Os registros de fluxo do VPC fornecem registros detalhados de informações sobre o tráfego IP que vai e vem das interfaces de rede em sua Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro do log de fluxo inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | GarantaAWS CodeBuildo registro de projetos está habilitado para que seus registros de saída de compilação sejam enviados para qualquer uma das AmazonCloudWatchou Amazon Simple Storage Service (Amazon S3). Os registros de saída de compilação fornecem informações detalhadas sobre seu projeto de construção. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. Os registros de erros do domínio podem ajudar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | Certifique-se de que o registro de auditoria esteja ativado em sua AmazonOpenSearchDomínios de serviço. O registro de auditoria permite que você acompanhe a atividade do usuário em seuOpenSearchdomínios, incluindo sucessos e falhas de autenticação, solicitações paraOpenSearch, alterações no índice e consultas de pesquisa recebidas. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | Garanta a AmazonOpenSearchOs domínios de serviço têm registros de erros habilitados e transmitidos para a AmazonCloudWatchRegistros para retenção e resposta. OpenSearchOs registros de erros do serviço podem ajudar nas auditorias de segurança e acesso e podem ajudar a diagnosticar problemas de disponibilidade. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema para cada evento: Identificação do usuário | Para proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus clusters do Amazon Redshift. Você também deve garantir que as configurações necessárias sejam implantadas nos clusters do Amazon Redshift. O registro de auditoria deve estar habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido paraclusterDbEncrypted(Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da sua organização. | |
| 10.5 | Proteja as trilhas de auditoria para que elas não possam ser alteradas. | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| 10.5 | Proteja as trilhas de auditoria para que elas não possam ser alteradas. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| 10.5 | Proteja as trilhas de auditoria para que elas não possam ser alteradas. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 10.5.2 | Proteja os arquivos da trilha de auditoria contra modificações não autorizadas. | Como podem existir dados confidenciais e, para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seuAWS CloudTrailtrilhas. | |
| 10.5.2 | Proteja os arquivos da trilha de auditoria contra modificações não autorizadas. | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados. | |
| 10.5.2 | Proteja os arquivos da trilha de auditoria contra modificações não autorizadas. | Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 10.5.3 | Faça backup imediato dos arquivos da trilha de auditoria em um servidor de registro ou mídia centralizado que seja difícil de alterar. | Certifique-se de que as políticas de ciclo de vida do Amazon S3 estejam configuradas para ajudar a definir as ações que você deseja que o Amazon S3 realize durante a vida útil de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período de tempo especificado). | |
| 10.5.3 | Faça backup imediato dos arquivos da trilha de auditoria em um servidor de registro ou mídia centralizado que seja difícil de alterar. | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| 10.5.3 | Faça backup imediato dos arquivos da trilha de auditoria em um servidor de registro ou mídia centralizado que seja difícil de alterar. | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| 10.5.3 | Faça backup imediato dos arquivos da trilha de auditoria em um servidor de registro ou mídia centralizado que seja difícil de alterar. | A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida. | |
| 10.5.5 | Use software de monitoramento de integridade de arquivos ou detecção de alterações nos registros para garantir que os dados de registro existentes não possam ser alterados sem gerar alertas (embora a adição de novos dados não deva causar um alerta). | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| 10.5.5 | Use software de monitoramento de integridade de arquivos ou detecção de alterações nos registros para garantir que os dados de registro existentes não possam ser alterados sem gerar alertas (embora a adição de novos dados não deva causar um alerta). | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar cada versão de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos. | |
| 10.7 | Mantenha o histórico da trilha de auditoria por pelo menos um ano, com um mínimo de três meses imediatamente disponíveis para análise (por exemplo, on-line, arquivado ou restaurável a partir do backup). | Certifique-se de que as políticas de ciclo de vida do Amazon S3 estejam configuradas para ajudar a definir as ações que você deseja que o Amazon S3 realize durante a vida útil de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período de tempo especificado). | |
| 10.7 | Mantenha o histórico da trilha de auditoria por pelo menos um ano, com um mínimo de três meses imediatamente disponíveis para análise (por exemplo, on-line, arquivado ou restaurável a partir do backup). | Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização. | |
| 11.2.3 | Execute escaneamentos internos e externos e escaneie novamente conforme necessário, após qualquer alteração significativa. As digitalizações devem ser realizadas por pessoal qualificado. | A digitalização de imagens do Amazon Elastic Container Repository (ECR) auxilia na identificação de vulnerabilidades de software em suas imagens de contêiner. Ativar a digitalização de imagens em repositórios de ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas. | |
| 11.4 | Use técnicas de detecção e/ou prevenção de intrusões para detectar e/ou evitar intrusões na rede. Monitore todo o tráfego no perímetro do ambiente de dados do titular do cartão, bem como em pontos críticos do ambiente de dados do titular do cartão, e alerte a equipe sobre suspeitas de comprometimento. Mantenha todos os mecanismos, linhas de base e assinaturas de detecção e prevenção de intrusões atualizados. | AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem. | |
| 11.4 | Use técnicas de detecção e/ou prevenção de intrusões para detectar e/ou evitar intrusões na rede. Monitore todo o tráfego no perímetro do ambiente de dados do titular do cartão, bem como em pontos críticos do ambiente de dados do titular do cartão, e alerte a equipe sobre suspeitas de comprometimento. Mantenha todos os mecanismos, linhas de base e assinaturas de detecção e prevenção de intrusões atualizados. | UmAWSA política de firewall de rede define como seu firewall monitora e gerencia o tráfego em um Amazon VPC. Você configura grupos de regras sem estado e com estado para filtrar pacotes e fluxos de tráfego e define o tratamento de tráfego padrão. | |
| 11.5 | Implemente um mecanismo de detecção de alterações (por exemplo, ferramentas de monitoramento da integridade de arquivos) para alertar a equipe sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos críticos do sistema, arquivos de configuração ou arquivos de conteúdo; e configure o software para realizar comparações de arquivos essenciais pelo menos uma vez por semana. | UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações. | |
| 11.5 | Implemente um mecanismo de detecção de alterações (por exemplo, ferramentas de monitoramento da integridade de arquivos) para alertar a equipe sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos críticos do sistema, arquivos de configuração ou arquivos de conteúdo; e configure o software para realizar comparações de arquivos essenciais pelo menos uma vez por semana. | AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSFirewall Manager eAWSSoluções de parceiros. |
Modelo
O modelo está disponível emGitHub:Melhores práticas operacionais para PCI DSS 3.2.1
